Veel MSSP's . SIEM's en andere logboekbeheer / aggregatie / analyseoplossingen voor cybersecurityzichtbaarheid, maar is logboekanalyse voldoende? We horen steeds meer over holistische beveiligingsoplossingen zoals XDR-platforms die claimen het hele aanvalsoppervlak te bestrijken, vooral omdat de laatste pijplijnaanval de samengestelde aard van de huidige geavanceerde meertraps cyberaanvallen heeft versterkt. De aanvallers gaven toe dat ze niet verwachtten dat hun aanval de pijpleiding zou afsluiten, maar het resultaat was verwoestend. Laten we even kijken wat we uit logboeken halen en wat we niet uit logboeken halen.
Boomstammen zijn van nature een blik in het verleden. Ze geven ons inzicht in de activiteit van bestands- en applicatieservers, gebruikersbeheersystemen zoals Active Directory, e-mailservers en andere tools. Als de logboeken correct zijn gecorreleerd en geanalyseerd, kunnen we weten of er afwijkingen optreden in deze systemen.
Maar hoe zit het met zero-day-aanvallen? Als er geen reputatie bestaat voor een ransomwarebestand, hoe detecteert u het dan? Het antwoord is dat u dit niet kunt doen totdat het zich in uw omgeving heeft verspreid tot het punt waarop het merkbaar is via meerdere waarschuwingen NADAT het een aanzienlijk deel van uw omgeving heeft geïnfecteerd.
Dus, hoe krijgen we deze grotere zichtbaarheid? In plaats van alleen maar onbewerkte logboeken op te nemen, moeten we overwegen hoe we de beveiligingsmetagegevens uit die logboeken uit meerdere bronnen kunnen halen. Vervolgens moeten we die gegevens langs meerdere feeds met informatie over bedreigingen laten lopen. Als er geen treffer op het bestand is van bedreigingsinformatie, moet er een geautomatiseerde manier zijn om dat bestand te delen met een sandbox. Zodra de sandbox het classificeert, moet die reputatie in het evenement worden opgenomen. Dit is de reden waarom het idee van XDR deze stappen samenvoegt tot een enig dashboard wordt zo'n hot topic - complexe aanvallen zijn niet gemakkelijk te zien met silo-teams en tools.
Uiteindelijk zou deze automatisering de workflow voor de SOC-analist aanzienlijk vereenvoudigen. Ze zouden zich kunnen concentreren op gecorreleerde gebeurtenissen in plaats van te wachten tot situaties een aanzienlijk aantal waarschuwingen genereren voordat het hun aandacht trekt. Dit zal de MTTD aanzienlijk verminderen. Gewapend met de juiste informatie kunnen ze ook snel handelen, waardoor de MTTR.
Logboeken hebben hun plaats in cybersecurity vanuit het oogpunt van compliance. Maar als u alleen op logboeken vertrouwt voor analyse en herstel, mist u een grote kans om automatisering en zichtbaarheid tussen tools en detecties te gebruiken om uw beveiligingshouding te verbeteren en de kans op een aanval te verkleinen die uw bedrijfsactiviteiten aanzienlijk zou kunnen beïnvloeden.
U kunt zien hoe MSSP's gebruikmaken van Stellar Cyber's "Open" XDR om inkomsten met hoge marge te genereren hier, of neem rechtstreeks contact met mij op via brian@stellarcyber.ai.
